Un pilote de Dell rend des centaines de millions de systèmes vulnérables

0

Un pilote qui a été déployé au cours des 12 dernières années vers les appareils informatiques Dell contient de multiples vulnérabilités qui pourraient conduire à l’augmentation de privilèges sur le système.

On estime que des centaines de millions d’ordinateurs Dell, des ordinateurs de bureau aux ordinateurs portables en passant par les tablettes, ont reçu le pilote vulnérable grâce aux mises à jour du BIOS.

5 failles en 1 pour Dell

Une collection de 5 failles, collectivement identifiées sous CVE-2021-21551, a été découverte dans DBUtil, un pilote que les machines Dell installent et chargent pendant le processus de mise à jour du BIOS et est déchargé au prochain redémarrage.

En regardant de plus près le pilote DBUtil, Kasif Dekel, chercheur en sécurité de la société de cybersécurité SentinelOne, a constaté qu’il peut être exploité « pour augmenter les privilèges d’un utilisateur non-administratif aux privilèges de mode noyau. »

Le code d’un attaquant exécutant avec ce niveau d’autorisations aurait un accès illimité à tout le matériel disponible sur le système, y compris le référencement de toute adresse mémoire.

dell

Ce type de vulnérabilité n’est pas considéré comme critique parce qu’un attaquant qui l’exploite doit avoir compromis l’ordinateur à l’avance. Cependant, il permet aux pirates informatique et aux logiciels malveillants de gagner en persistance sur le système infecté.

Bien qu’il existe un seul numéro d’identifiant, Dekel dit qu’il y’a cinq failles distinctes, la plupart d’entre eux conduisant à l’élévation des privilèges et un problème de logique de code qui conduit au déni de service.

CVE-2021-21551Elévation Locale de Privilèges Corruption de mémoire
CVE-2021-21551Elévation Locale de PrivilègesCorruption de mémoire
CVE-2021-21551Elévation Locale de PrivilègesManque de validation d’entrée
CVE-2021-21551Elévation Locale de PrivilègesManque de validation d’entrée
CVE-2021-21551Déni de ServiceProblème logique de code

Le chercheur fournit des informations techniques dans un article de blog, mais garde les détails qui permettent de déclencher et exploiter les failles pour donner aux utilisateurs le temps d’appliquer le patch. Il prévoit de partager le code d’exploitation de la preuve de concept le 1er juin.

Dekel dit que Dell a préparé un avis de sécurité pour cette vulnérabilité. Le remède est un pilote corrigé, mais le chercheur dit qu’au moment de la rédaction du rapport, l’entreprise n’avait pas révoqué le certificat pour le pilote vulnérable, ce qui signifie qu’un adversaire sur le réseau peut encore l’utiliser dans une attaque.

« Un attaquant ayant accès au réseau d’une organisation peut également avoir accès à l’exécution de code sur des systèmes Dell non patchés et utiliser cette vulnérabilité pour obtenir une élévation locale de privilège. Les attaquants peuvent alors tirer parti d’autres techniques pour attaquer le réseau plus large, comme le mouvement latéral »

SentinelOne

Malgré la longévité du pilote vulnérable de DBUtil et le grand nombre de victimes potentielles, SentinelOne dit qu’ils n’ont vu aucun indicateur sur l’exploitation de ces vulnérabilités dans la nature. Toutefois, cela pourrait bientôt changer.

La société a publié une vidéo montrant qu’un pilote DBUtil vulnérable peut être exploité pour atteindre l’élévation locale des privilèges sur un système cible.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire